核電廠反應堆保護系統設計準則

馮威 羅煒 俞赟 尤愷

（中國核動力研究設計院核反應堆系統設計技術重點實驗室，四川成都610041）

0 引言

反應堆保護系統是核電廠重要的安全系統。它對于限制核電廠事故的發展、減輕事故后果，保證反應堆及核電廠設備和人員的安全、防止放射性物質向周圍環境的釋放具有十分重要的作用。它監測電廠重要的參數，對安全信號進行必要的采集、計算、定值比較、符合邏輯處理，當選定的電廠參數達到安全系統整定值時，自動地觸發反應堆緊急停堆和/或驅動專設安全設施動作，以實現并維持電廠的安全停堆工況。

1 設計準則

反應堆保護系統的設計須滿足以下設計準則：

1.1 自動保護

除非出現危險工況到要求保護動作之間有足夠長的時間允許操縱員手動操作，否則所有保護動作都應是自動的。保護動作一旦觸發就應進行到底。除非操縱員有意識地操作逐個部件來終止專設安全設施動作。只有系統級驅動信號被復位后，才允許操縱員進行部件級手動復位。部件復位的一個原因是如果發生安全功能的誤驅動，可通過部件復位來終止安全功能。

1.2 單一故障準則

反應堆保護系統具有足夠的冗余度，保證不會因為單一故障而喪失保護功能。應考慮發生在系統內部的、發生在輔助系統中的以及由外部原因引起的故障。

即使在一個通道旁通用于試驗或維護的情況下，安全系統內一個可信的單一故障不會阻止系統級保護功能的觸發或完成。即使在安全系統因單一故障退化的情況下，系統也包含足夠的冗余以滿足性能要求。安全系統內的單一故障不會導致II類工況事件發展成為III類工況事件或III類工況事件發展成為IV類工況事件。

冗余序列間的連接或與非安全系統間的信號連接包含隔離裝置。隔離裝置是經過測試的，以確保如物理損壞、短路、開路、輸出終端電壓故障等可信的故障不會反向傳播到隔離裝置的輸入端。隔離裝置確保非安全系統內的可信單一故障不會降低安全系統的性能。

為防止共模故障，采用了諸如功能多樣性、物理隔離、試驗以及在設計、生產、安裝和運行過程中采取行政控制等附加方法。

保護系統的另一個設計目標是將誤停堆和專設安全設施誤驅動的概率降至最低。對那些故障后會產生錯誤的停堆或專設安全設施觸發信號的重要電路提供了冗余。停堆四取二的驅動邏輯以及停堆斷路器的設置防止了單一故障觸發停堆。對于專設安全設施觸發，每個部件的驅動邏輯在符合邏輯內部都是冗余執行的。冗余的邏輯極大降低了了隨機單一故障導致誤驅動的概率，也使得在定期試驗期間專設驅動邏輯同樣滿足單一故障準則。用于觸發系統級專設安全設施的專用開關利用激勵觸發的方式，極大降低了誤驅動概率。

1.3 故障檢測

為了能檢測系統內部的故障，并核實系統的性能參數與功能要求相一致，要求能夠對反應堆保護系統進行定期試驗。

對于從來自不同通道信號得到最終系統輸出信號所需的通道和裝置，提供了試驗及校準的能力。從保護系統傳感器輸入到被驅動設備的試驗通過一系列重疊連續的試驗完成，大部分的試驗可以在電廠滿功率期間進行。當滿功率情況下試驗會擾亂電廠運行或損壞設備時，這類設備的試驗將在低功率或反應堆停堆時進行。

1.4 控制與保護的接口

控制系統與保護系統共用探測器時，為了防止控制系統的故障延伸到保護系統，信號傳輸通過隔離裝置。

來自保護通道的部分信息用于電廠控制。這樣設計的優點在于：

1）控制采用與保護相同的測量信號。這樣使得控制系統的功能能夠維持運行狀態和安全限值之間的裕度，減少誤停堆的可能性。

2）減少單個過程參數重復測量數量能夠減少全廠關鍵壓力邊界(如反應堆冷卻劑回路，穩壓器和蒸汽發生器)貫穿件的數量和復雜度。這樣也降低了電廠成本和維護要求，節省了空間，并提高了隔離性。

1.5 對共因故障的保護

提供使反應堆保護系統免受共因故障影響的措施，減小這類同時影響冗余通道的故障的幾率。采用冗余裝置間的實體分隔和電氣隔離來限制外部事件的后果，考慮到共因故障可能起源于系統內部，設計中采用功能多樣性原理。各冗余部分由獨立的電源供電。

為了防止反應堆保護系統可能出現的共模故障對核電廠安全的影響，需設計獨立于反應堆保護系統的多樣性驅動系統，多樣性驅動系統可以是非安全級的。

1.6 保護功能的手動啟動

系統級的每個保護動作，可以在控制室手動啟動。手動啟動所用設備的數量必須盡量少，手動啟動與自動動作的共用設備應盡量少。

1.7 旁通

只有當余下的通道仍滿足單一故障準則時，才允許為了試驗或維修的目的將一個通道退出運行（維修旁通）。如果這一原則不能滿足，只要通道不可用的時間足夠短，在這一時間內仍在工作的通道的故障率與1/2系統在正常運行中的故障率相當，則允許一個通道旁通。根據反應堆運行工況的需要，允許閉鎖某些保護功能，稱為運行旁通；當允許條件不滿足時，運行旁通自動取消。

安全系統允許在維護、試驗或維修時對監測選定變量的保護通道進行旁通。該旁通可在功率運行期間進行，并不會引起保護動作的觸發。當在功率運行期間允許選定變量的一個通道被旁通一段時間時，系統仍滿足單一故障準則。如果系統的某部分被行政旁通或退出運行，在主控制室會有相應的顯示。

在一個通道旁通時，保護系統不允許監測同一變量的第二個通道被旁通。試圖旁通多個通道的操作是被閉鎖的。對于每個驅動功能，運行技術規范限制了一個通道允許被旁通或退出運行的時間間隔。技術規格書中列出的時間是考慮了功能的冗余性和重要性確定的。

1.8 信息

與電廠狀態和反應堆保護系統狀態有關的數據應明確地、完整地并及時地顯示在控制室。這些顯示使操縱員能跟蹤保護系統的運行，在需要的時候啟用手動控制。

對于沒有自動控制又是安全系統完成其安全功能所必需的手動控制操作，為其提供信息的顯示儀表應是安全系統的一部分，并且應滿足對核電廠事故監測儀表的要求。顯示儀表的設計應使可能引起操縱員混淆的不明確顯示減到最少。

報警也能夠提醒操縱員電廠工況與正常運行工況的偏離，使其能采取適當的動作以避免對安全系統的挑戰。

保護系統提供給操縱員持續旁通狀態的指示。狀態信息的顯示允許操縱員識別特定的旁通功能，并判斷邏輯是否已經退化。除狀態指示外，對于一個給定的保護功能，如果試圖旁通一個以上的保護通道，主控室中將會產生報警。

1.9 獨立性

安全系統的靈活性使得冗余序列之間是實體分隔的。通道的獨立性貫穿整個系統，從傳感器一直到驅動保護功能的裝置。冗余變送器之間也是實體分隔的。冗余通道的配線通過使用實體分隔、分析、隔離、試驗或屏障的方式提供電路的獨立性。

設計的理念是最大化地利用測量儀表的多樣性，因此保護系統持續監測大量多樣化的系統變量。一般地，兩個或兩個以上多樣化的保護功能能夠在嚴重后果發生前結束一個事件。

對于保護系統冗余設備間的通訊，采用了隔離裝置以保持不同序列間的電氣隔離。同時隔離裝置也保證了安全設備和那些使用保護信號的非安全系統間的隔離。

2 結束語

反應堆保護系統對電廠安全起到了至關重要的作用，在工程設計中應遵循其各類設計準則，以確保反應堆的安全。

［1］GB 4083-2005核反應堆保護系統安全準則[S].